提供基線及更多功能:OT Security Add-On for Splunk v2.2 新增功能介紹
發布日期:2023/05/17
提供基線及更多功能:OT Security Add-On for Splunk v2.2 新增功能介紹
今天,我們很高興宣布 OT Security Add-On for Splunk 2.2 版現在已經發布到 Splunkbase 上。本次更新根據業界最佳作法和客戶意見新增了許多功能,可以幫助企業在營運技術 (OT) 安全旅程中成長。
進化
在過去一年,Splunk 發現許多客戶有興趣在他們的營運環境中實作我們的 OT Add-On。隨著採用的客戶日漸增加,我們獲得了更多的客戶意見,了解哪些是最有價值的功能、應該改進的領域和他們需要的額外功能。因此,我們進行了許多增強 (包括錯誤修正) 來改進 OT Security Add-On。
改進風險型警示的整合功能
客戶在導入新環境和新資料來源時面臨的最大挑戰之一,就是它們對安全監控團隊可能帶來的影響。許多工具每天會產生成千上萬個警報,但這些警報對安全性的貢獻可能很有限。此外,當組織開始監控 OT 資料時,經常會偵測到可疑但實為無害的活動,反而導致員工分心,無法從事更有價值的工作。只要安全警報觸發通知,安全團隊就必須對誤報做出反應,尤其是當他們不熟悉如何處理 OT 安全事件時。
透過 Splunk 以風險為基礎的警示 (RBA),組織可以整合所有警示,並根據優先等級、資產類型或嚴重性等因素,產生數量較少的 Splunk Notable (醒目事件),以減少雜訊,將重心放在這些值得注意的事件上。同時,分析人員需要取得造成該警示的詳細資料,以便適當地進行回應。新增了多個預先設定的 OT 專用 RBA 因素,讓使用者可以維持營運和防止損害的平衡下,對事件進行最適當的回應。 此外,我們還提供了根據資產、使用者行為,以及設施或場地等級的其他現成 RBA 相關規則。這些相關規則的閾值可以根據個別客戶環境進行自訂。每個相關規則也都有對應的風險分析回應動作,可由 RBA 警示進行自訂和使用。
好還要更好
Splunk 的安全領域解決方案團隊以 OT 安全的成熟模型為指導,程度包括監控邊界 (好)、監控 IT 和 OT 軟體系統 (更好),最終是實體程序和控制層 (最好),以保護所有 OT 環境。自上次版本發布以來,我們解決方案的邊界監控功能廣受客戶肯定,並希望進一步幫助他們在安全之旅上繼續成長。客戶告訴我們,他們不僅想監控邊界,並希望擁有更多在 OT 環境中可以立即監控 IT 的技術,並且想將 OT 安全資料整合到單一地點,以同時檢視不同的技術。
在本次版本中,我們還提供了超越邊界以外,可了解各種系統的監控技術,包括 Active Directory、帳戶管理、主機存取、系統變更、端點保護、使用外部媒體裝置,以及檔案共用存取等。這些內容將聚焦於業界最佳作法和不斷變化的 OT 威脅。
設立資產與裝置的基線
在早期版本的 OT Add-On 中,Splunk 釋出了一些對電腦和網路資產設定基線的功能 (基本上是根據 NERC CIP 要求)。雖然它們有助於識別偏差情形,但建立這些基線的過程並不容易,而且大部分需要手動。製作基線是用於強化 OT 環境的常見做法,在這些環境中,有時安全團隊無法部署特定的安全保護措施。因此,由於這些環境是更加靜態的,部分客戶會試圖透過確保在端點上設定了同樣的軟體、服務、連接埠和其他配置來強化端點。
現在,Splunk 可以從已知的端點資料中建立基線。第一種基線類型可以將端點聚集成群組。例如,如果所有 SCADA 伺服器都應該執行相同的軟體,那麼可以將這些機器歸在同一組。此時只需為軟體定義一個基線即可,不需要為每台電腦個別建立。第二種基線類型是指定硬體或軟體配置,例如網路連接埠設定、電腦軟體版本、服務狀態和作業系統 (包含了這些基線)。如果內建的基線不符所需,您仍然可以在 Splunk 中設定新的基線類型,無需更新底層應用程式。
除了提供建立這些基線的功能之外,還有幾個儀表板可使用基線來識別偏差。例如,在 Computer Baselines 儀表板上,使用者可以偵測安裝的作業系統版本是否錯誤,或安裝了未獲核准或缺漏的軟體。
MITRE ATT&CK for ICS (由 MITRE 發布的一個針對工業控制系統 (ICS) 的安全框架)
在早期,我們希望確保客戶能夠利用適用於 ICS 的 MITRE ATT&CK 框架。在先前的版本中,我們優先處理了對偵測結果進行對應的能力。在最新版本中,您可以輕鬆地將 MITRE ICS 偵測新增到關聯規則中,並利用 Enterprise Security (ES) 現有的內建框架對應機制,以確保我們的客戶能夠利用所有安全框架。我們同樣兼顧了包含 MITRE ATT&CK、CIS 20、NIST或 Kill Chain。此附加元件提供的每個關聯規則都已經預先對應好了,提供任何想使用其他安全框架的人使用。
使用案例庫
Splunk 的 Enterprise Security (ES) 提供了大量的功能,我們的團隊致力於確保 OT 附加元件都能善用這些功能。包括從 ES 的設定頁面直接設定巨集、增加儀表板之間的連結,並且利用現有的 ES 安全架構等。ES 的使用案例庫有助於客戶更佳了解如何應用 OT 附加元件,以及現有的 ES 和 ES Content Updates (ESCU) 偵測。OT Add-On 現在提供到安全架構和現有相關規則的對應,您可以在 OT Security 的新使用案例類別中找到它們。
額外增強功能
我們希望確保 OT Add-On 具有足夠的靈活性,以應對不同的情況和環境。因此,我們新增了許多機制,讓客戶可以自行定義如何識別他們的 OT 資產,以便在儀表板上正確顯示。
藉此,您可以在整個附加元件中顯示資產時使用相同的圖示和欄位。以前,資產名稱主要是根據原始資料來源顯示的,例如防火牆資料通常包括 IP 位址,或是 Windows 安全日誌使用 DNS 或主機名稱。有時,這會讓使用者在不同資料來源之間進行關聯發生問題。在最新版本中,使用者可以指定要顯示的欄位,並選擇根據可用的內容使用哪些資產名稱。
下一步是什麼?
未來,我們計劃推出更多的維護版本,加快創新的速度並提供更頻繁的更新。客戶的回饋意見對於我們在此版本中新增的功能非常重要,我們將繼續密切關注您的需求。如果您有任何問題、意見或想要了解更多 OT Security Add-On for Splunk 的資訊,請透過 otsecurity@splunk.com 與我們聯繫。
作者
Chris Duffey
Chris 是一名資深物聯網從業者,在工業控制系統 (ICS) 領域擁有十年以上的經驗,特別是在石油和天然氣行業。他之前負責過監控多個 SCADA 系統的健康狀況和安全,以及內部營運開發。他知道 Splunk 在改變團隊如何回應系統事件、提高正常執行時間和推動 SCADA 環境中的安全性方面所發揮的作用。他的主要職責是幫助工業領域的客戶瞭解 Splunk 能如何幫助他們解決問題,以及如何改變他們的日常營運和安全。